93 Membres 1307 Contributions

Open Community

Discussions - Administration

<p>Fil de discussions autour des outils d'administration d'AMC, d'Arkoon Manager, Arkoon Monitoring, ACC</p>

Non résolue

ssl server rejected the connection

Posée par Palma Alexandre dans Administration

Bonjour , 

Le proxy ssl de mon stormshield semble bloquer la connexion à un site malgré que celui ci ne soit pas dans une classification interdite , j'ai aussi essayé de modifier les paramètres ssl > proxy en étant le plus permissif possible mais toujour pas d'accès au site , j'ai l'erreur : ssl server rejected the connection dans les logs . Avez vous une idée sur le paramètrage a effectuer pour autoriser ce site. Merci.

Non résolue

Configuration NAT

Posée par Jean Korn dans Administration

Bonjour, j'aurai besoin d'un peu d'aide.

Il faudrait que j'ajoute une règle à notre stormshield pour permettre l'accès à partir d'un internet à un serveur.

Je souhaite que le visiteur qui accède à  "mon-ip-public:8083" soit dirigé vers "monserveurlocal:443" pourriez-vous m'éclairer sur la manière de paramétrer le stormshield ?

Merci

Résolue

Ping aléatoire en outside

Posée par T H dans Administration

Bonjour, je suis administrateur réseau dans une entreprise et nous avons récemment achetés deux stormshield SN510, sur l'un d'entre eux j'ai configuré :

-une interface outside (qui va vers un autre routeur interne qui renvoie vers internet)

-une interface inside (qui va vers le réseau 192.168.95.X/24)

J'ai configuré les routes et les règles de filtrage d'interface à interface.

J'ai un pc en 192.168.95.100 dans inside qui arrive a ping 8.8.8.8 google.fr par exemple

mais celui-ci ne ping pas psg.fr (exemple), il ping un site sur deux ce que je ne comprends absolument pas ! exemple :

Aucun proxy n'est présent sur le réseau.

le nslookup arrive a tout résoudre.

le traceroute m'indique le bon chemin et part bien sur l'autre routeur interne qui lui n'a aucun problème.

Une fois arrivé sur un navigateur même les ip que j'arrive à ping, je n'arrive pas à les atteindres sur le navigateur.

Pouvez-vous m'aider a comprendre pourquoi ce stormshield bloque la connection ?

 

Résolue

SVC : déclarer plusieurs appliances

Posée par Stephane Valibouse dans Administration

Bonjour à tous,

je viens de déployer une vm SVC afin de centraliser les logs de toutes mes appliances installées dans chaque pays où nous avons une entité.

Pour le site maison où est installé SVC la discution avec le cluster SN700 fonctionne parfaitement.

j'ai ensuite configuré mes autres appliances qui sont connectées en IPSEC en implantant de la meme manière les certificats pour la discussion en TLS j'ai créé l'objet host de mon SVC avec l'ip de mon site centrale qui est bien joignable depuis les réseaux distants par les tunnels ipsec.

mais visiblement le syslog ne semble pas passer par le tunnel, y a t'il une règle de filtrage+NAT à faire afin de faire transiter les logs des firewalls distants vers le site central où SVC est hosté.

 

merci pour vos commentaires

Non résolue

Aide configuration SN710

Posée par Anthony Le dans Administration

Salut,

Nous avons actuellement un parefeu zyxell, et j'essai de configurer son remplacant, un stormshield sn710.

Je me perds un peu dans la configuration des regles NAT.

Sur mon zyxel, j'indiquais l'interface d'entrée, ip source (sur laquelle de les ips la requete arrivait) la machine de destination, et le protocole.

dans source orginale j'indique internet et mon interface d'entée ?

dans destination originale : l'ip publique et le port ?

dans source translatée :  je comprend pas ?

dans destination translatée : ma machine cible et le protocole ?

merci de votre aide

 

 

Non résolue

Negotiation with client error (negotiation aborted) - Filtrage SSL

Posée par Jean Korn dans Administration

Bonjour,

sur notre Stormshield, nous réalisons de l'inspection SSL.

je rencontre régulièrement des sites web bloqués par le pare-feu 

l'erreur qui s'affiche est : "Negotiation with client error (negotiation aborted); Règle de filtrage; Id de la règle :94; Config: IPS_01; Politique : Filtrage_SSL" 

règle 94 : decrypt HTTPS SSL Filter

régle 95 : pass HTTPS URL Filter

 

Auriez vous une idée de quoi pourrait venir ce probleme ?

Merci

 

Résolue

Mise en place d'un VPN SSL (@IP externe injoignable)

Posée par Charles Barthowsky dans Administration

Bonjour à toutes et à tous,

Je suis désireux de mettre en place un VPN SSL dans mon entreprise mais avant toute chose, je me suis rendu compte que mon @IP externe de mon SN510 était injoignable (depuis une 4G par exemple). Je n'arrive plus à prendre la main dessus en https. De ce fait et avec l'appli Stormshield VPN SSL, ça ne pourra pas fonctionner. 

Pourriez-vous m'aider ou me donner quelques pistes ? 

Merci par avance. :) 

Résolue

Communiquer deux interfaces SN510

Posée par Bd 41 dans Administration

Bonjour,

A l'heure actuelle, ma société n'utilise pas de VLAN.

Par conséquent, je dispose sur mon SN 510 : 

  • 1x Patte WAN
  • 1x Patte LAN (avec multipes @IP, le FW fait passerelle de chaque sous réseau). 

Ce que j'ai fait, j'ai paramétré un switch avec 2 VLANS :

  • LAN 192.168.95.0/24 - VLAN 95
  • MGMT 192.168.90.0/24 - VLAN 90.
  • Côté switch (192.168.90.10), je suis connecté au p3 de mon SN510 en trunk.
  • Côté SN510, j'ai créé une interface en p3 (192.168.91.100) et deux interfaces VLANS dessus (192.168.90.100 & 95.100 avec les bons ID VLANS correspondants à mon switch). 

Mon SN510 communique sans souci avec mon switch. 

Malheureusement, impossible de ping le switch depuis mon PC (connecté sur le LAN classique). Est-il possible de faire communiquer deux interfaces de mon SN510 sans faire de bridge ? J'ai beau avoir ouvert certains flux, rien ne passe.. 

Merci par avance pour votre aide,

Cordialement,

BD.

Non résolue

Firewall SN510 avec deux liens internet

Posée par Isonic dans Administration

Bonjour je cherche à configurer sur un SN510 deux connexions vers internet

Sur mon SN j'ai donc la borne 1 vers Orange , la borne 2 vers mon reseau interne et la borne 3 vers SFR.

J'ai paramétré les liens Orange et SFR de la meme façon , je ne fait pas de commutation en automatique je fais simplement un basculement à la main mais le lien SFR ne focntionne pas.

Savez vous si il existe des tutos pour ce type de paramétrage ?

 

Merci

 
Résolue

VPN SSL et client Openvpn sous Linux

Posée par Isonic dans Administration

Bonjour , je viens de faire quelques essais de connexions avec le client openvpn sous Linux

et j'ai une déconnexion au bout de 30 secondes.

Le PC est sosu Ubuntu 18.04 et la connexion ne fonctionne pas lorsque j'utilise le network manager de Ubuntu par contre si je fais une connexion en ligne de commande cela fonctionne bien.

Si vous avez une solution ou une idée

Merci

 
Résolue

Compatibilité client SSL 32b SNS 3.7 ?

Posée par Julien Auger dans Administration

Bonjour,

Est-ce que la version 3.7 LTSB est compatible avec le client SSL en version 2.4 (le dernier à être compatible 32b me semble) ?

 

J'avais trouvé la liste des compatibilité sur la base documentaire mais impossible de remettre la main dessus...

 

Merci.

 

Bonne journée

Non résolue

Soucis Ouverture de ports sur SN510 ..

Posée par Johann Coquillet dans Administration

Bonjour,

Petit soucis du jour.

J'ai un SN510 derrière une LiveBox, sur laquelle j'ai redirigé tous les ports vers le SN510 et créé la DMZ.
Sur le SN510 j'ai bien un accès internet après la création de la partie NAT pour accès Internet.
Soucis je dois ouvrir le port RSYNC vers mon Stormshield pour le pointer sur un NAS, et là cela se corse, j'ai du zappé quelque chose.

Pour Info :

WAN SN510 / 192.168.65.254 - LAN LiveBox / 192.168.65.1
Côté NAT
Network_Internals -> Internet -> IP WAN SN510 -> Ephemeral_fw -> internet (sortie Internet)
Any -> IP WAN LB -> RSYNC ->         NAS -> RSYNC (ouverture de port)

Côté FILTRAGE
passer -> Any -> IP WAN LB -> RSYNC -> Firewall
passer -> Network_Internal -> Internet -> Any -> IDS

Mais je n'arrive pas à me connecter de l'extérieur en RSYNC alors que Ok en Local.

Je pense que le soucis c'est entre la sortir en 192.168.65.254 et l'entrée avec Adresse IP Publique, mais je bloque.

Voir la suite
Non résolue

LAN sur SN200

Posée par John Doe dans Administration

Bonjour,

Nous utilisons actuellement un Stormshield SN200 configuré en mode bridge (ou mode transparent), hors nous avons constater que nous pouvions le configuré en mode translaté.

Nous aimerions connaitre les différences (avantages et inconvénients) de ces 2 modes.

Merci d'avance.

JD

Résolue

Automatisation NSRPC

Posée par Paul Lepoulpe dans Administration

Bonjour,

Je souhaiterai automatiser quelques commandes via NSRPC.

Est-il possible de lui passer des commandes en argument?

J'ai essayé d'utiliser expect mais les commandes semblent ne pas être prises en compte.

Auriez-vous des alternatives?

Merci.

Résolue

Compter le nombre de fois qu'une règle est utilisée

Posée par Guillaume V dans Administration

Bonjour,

Je suis sur le point de remplacer mes arkoons par des stormshield. Avant de commencer à créer mes règles de flux sur mon stormshield je cherche à faire du ménage dans mes règles de flux. Avec le compteur surbles règles de flux de l'arkoon je peux voir celles qui sont utilisées ou non. Nickel pour mes règles de flux concernant des port TCP. Cependant le compteur reste à 0 pour toutes mes règles de flux utilisant des ports UDP. Pourtant j'ai belle et bien du traffic. Aucune autres règle de flux qui pourrait strapper ces règles en UDP n'existe.

Ma question, est il possible de compter le nombre de fois qu'une règle utilisée pour de l'UDP est matchée ?

Merci.

Non résolue

script Autoupdate version powershell

Posée par Yannick Dalencon dans Administration

Bonjour à tous,

 

Je souhaite partager le script de téléchargement autoupdate en version powershell (traduit de updater.sh présent sur mystormshield et amélioré).

Ce script permet par rapport à la version linux de ne pas retélécharger le fichier tgz si le fichier présent localement correspond au bon hash MD5.

Windows ne gérant pas nativement les fichier tgz, il est nécessaire d'utiliser 7Zip (via 7z.exe)

Résolue

Multi ip Wan SN510

Posée par Gerard Ridouard dans Administration

Bonjour

je posséde un stormshield SN510, je n'arrive pas a configurer un nombre suffisant d'adresse Ip publique dans INTERFACES-WAN- Ip statique

le nombre maximun est de 6 alors que je posséde 30 adresses Ip Publique

connaissez vous une solution

j'ai essayer de les créer manuellement dans les objets mais cela ne marche pas quand je faire mes régles de NAT (manque la passerelle)

dans l'attente de vous lire

merci d'avance

Résolue

Serveur WEB inaccessible derrière mon U150

Posée par Mohamed T dans Administration

Bonjour à tous,

Je suis devant un problème sur lequel je me casse les dents depuis 2 jours.

Je dois ouvrir l’accès a un serveur web que je viens d'installer mais je n'arrive pas à ouvrir les portes!

1 j'ai demander à ouvrir le port 80 sur le routeur de mon opérateur afin de pouvoir rediriger les requettes arrivant sur mon adresse ip publique:80 vers mon serveur web

2 J'ai Natter pour que tout ce qui arrive sur mon WAN depuis le routeur opérateur soit redirigé vers mon serveur web

3 Je laisse passer le trafic arrivant depuis internet sur le port 80

Malgré cela lorsque que je regarde les log je vois un blocage du a une "sonde de port" sur mon entrée WAN

NB : Je suis complètement autodidacte en la matière et me rends bien compte que une formation spécifique sur ce type de matériel pourrai me faire du bien!

 

Non résolue

Problème impossible d'avoir les log des firewall sur autre réseau

Posée par Ilian B dans Administration

Bonjour,

Je viens de mettr een place SVC. J'arrive à faire remonter les logs du pare feu local (même réseau) mais quand j'essai d'ajouter d'autres pare feux sur d'autres réseaux, rien ne se passe. Sauf pou 1...

En gros, j'ai la VM qui est sur le réseau 192.168.21.0, un pare feu sur ce même réseau et 2 autres réseaus joignables entre eux : 192.168.21.0 et 192.168.12.0

J'ai un pare feu de test en 192.168.25.200 dont je vois les logs sur SVC mais un autre pare feu en 192.168.25.254 avec exactement la même config ne passe pas et le pare feu en 192.168.12.254 ne passe pas non plus......

Le filtrage entre les réseaux est nul (any) et en mode firewall.

Pour le coup je n'ai pas la moindre idée d'où peut venir le problème...

Est-ce que certains d'entre vous ont déjà réussi à obtenir les log de pare feux sur des réseaux diférents de celui de la VM ?

Quelqu'un à une idée ? un fichier de conf à modifier sur la VM ?

Merci à tous !

Non résolue

stormshield sn310 - forcer une interface pour un protocole définit

Posée par Sebastien Blabla dans Administration

Bonjour a tous,

 

Je suis nouveau dans le monde stormshield, j'ai un sn310 a administrer avec 2 connexion internet configuré sur 2 interfaces différentes du stormshield.

J'ai besoin de forcer tout le protocole POP et SMTP a sortir sur une seul des interfaces.

Je ne sais pas si ce que j'ai fait est bon et j'aurais besoin de confirmation/correction :

j'ai ajouté dans les filtre une règle qui bloque mon serveur de messagerie en source et en destination tout sur l'interface non souhaité avec comme port de destination pop3 et smtp.

La règle semble tre utilisé mais est-ce suffisant?

 

Merci d'avance.

Sébastien

Messages d'alerte